privacy-and-online-law
כיצד להבטיח תאימות עם חוקי פרטיות נתונים במהלך רכישת
Table of Contents
הנוף המשולב של רגלטורי והשפעתו על מבנהי דיל
(החוקים של הפרטיות אינם אחידים; הם משתנים על ידי סמכות שיפוטית ולעתים קרובות חופפים, הבנה של אילו חוקים חלים על חברת היעד - ועל ידי רוכשי החברה - היא הצעד הראשון בכל אסטרטגיה של תאימות.המסגרות המשפיעות ביותר כוללות את תקנות הגנת הנתונים של POPLT:0 כללי (GDPR) תקנות הפרטיות של דרום אפריקה (GDPR) ו-HLT5 השנים האחרונות, חוק הגנת הפרטיות של יפן (FLT5) (חוק הגנת הפרטיות של ארצות הברית:2Calinia)
[ה]התאמת הרגולציה משפיעה ישירות על מבנה העסקה.הרוכשים חייבים לשקול האם נהלי הנתונים של המטרה תואמים את מסגרת הציות הקיימת של רוכשי הרוכשים, כגון הסתמכות על הסכמה שאינה עוברת בקלות – עשויים לדרוש ניתוק של מחיר הרכישה, יצירתם של מאגרי המידע ו-Digemnity, או אפילו להורות על הרכישה כרכוש במקום מניות מסוימות:
עקרונות מרכזיים על פני חוקים גדולים
למרות ההבדלים בהיקף ובאכיפה, רוב משטרי הפרטיות של הנתונים חולקים עקרונות יסוד שרוכשים צריכים לטפל בהם:
- (FLT:0) חוקיות, הגינות ושקיפות 1) – יש לעבד נתונים אישיים על בסיס משפטי חוקי תקף, ויש ליידע את האנשים לגבי האופן שבו משתמשים בנתונים שלהם.פוסט-אקקוויזיציה, על הבקר החדש להעריך מחדש אם בסיסים משפטיים קיימים קיימים נשארים בתוקף או אם נדרשת הסכמה חדשה.
- (FLT:0) נניח כי יש לאסוף נתונים רק למטרות מוגדרות, מפורשות ולגיטימיות.לשחרר נתונים לאחר רכישה - לדוגמה, באמצעות נתוני לקוחות מתכנית נאמנות בקו מוצר חדש לחלוטין - דורש הערכה זהירה תחת מטרת העיבוד המקורית.
- (FLT:0) Data minimizationFLT:1 - רק הנתונים המינימליים הדרושים למטרה המיועדת עשויים להיאסף ולשמר.אינטגרציה יוצרת לעתים קרובות בריכות של נתונים עודף שיש לנקות או אנונימי.
- (FLT:0) דיוקנות והגבלת אחסון 1 (FLT:1) - יש לשמור על נתונים מדויקים ולא נשמרים יותר מהנדרש.הרכישה היא רגע אידיאלי לביקורת ולקבוע נתונים נקיים.
- (FLT:0) אינטגרליות וסודיות (FLT:1), אמצעי אבטחה חייבים להגן על נתונים מפני גישה בלתי מורשית, אובדן מקרי או הרס.
- (ב) [ה]הבקר בנתונים חייב להפגין עמידה באמצעות תיעוד, הכשרה וראייה יתר. ישות משולבת זקוקה למסגרת אחריות מאוחדת.
מיפוי עקרונות אלה למדיניות ולפרקטיקות הקיימות של החברה מהווה את הבסיס לביקורת ציות יסודית.הועד להגנת נתונים (EDPB) של החברה (EDPB) ,FLT:1 הנפיק הנחיות ספציפיות על הממשק בין הגנת נתונים לבין M&A, וציין כי עקב דיסלקציה חייבת לטפל בפוטנציאל של פעולות עיבוד סיכון חדש.
הערכה מוקדמת: דיסלקציה עמוקה
בשל דיסלקציה היא אבן הפינה של עמידה.סקירה שטחית של מדיניות הפרטיות אינה מספיקה; קונים חייבים לוודא כי פעילות עיבוד הנתונים של חברת היעד תואמת לדרישות משפטיות וכי אין התחייבויות נסתרות המשתוללות במערכת האקולוגית של הנתונים שלה.תהליך של סודיות מובנה מכסה בדרך כלל חמישה תחומים: ממשל נתונים, הסכמה וזכויות, אבטחה, מערכות יחסים של צד שלישי, ופעולות אכיפה קודמות.
מידע על ממשל ותיעוד
החל על ידי בקשתה של חברת היעד:0 (Records of processing Activities (ROPA)BuildFLT:1, מדיניות פרטיות, נהלי טיפול בנתונים פנימיים, וכל הערכות של הגנת נתונים (DPIAs) שבוצעו.מסמכים אלה חושפים את היקף העיבוד, הבסיסים המשפטיים הנתמכות על ידי ניהול נתונים, והנתונים זורמים בתוך הארגון.
זכויות נושא והסכמה
בדקו כיצד חברת היעד מקבלת ומסמכים הסכמה, במיוחד לשיווק, לפרופיל או לשתף עם צדדים שלישיים.תחת GDPR, יש לתת הסכמה באופן חופשי, ספציפית, מושכלת, ולאמביעית, לבדוק את גיל כל ההסכמה – הסכמה ישנה יותר עשויה לא לעמוד בקריטריונים של "בלתי-עמימות" או "לקבלת" תחת הפירושים הנוכחיים.אם הרכישה כוללת שינוי של שליטה או בעלות, ייתכן שעדיין לא תישלח באופן אוטומטי לרישום זכויות אדם.
היסטוריה של אבטחה ובריח
הפרות נתונים יקרות להפעלה מחדש ויכולות לעיין במדיניות הביטחון של המטרה, בתכנית התגובה לאירוע, וכל הודעות פרצות שהוגשו בשלוש עד חמש שנים האחרונות, ליזום הערכת אבטחה עצמאית לביצוע בדיקות חדירות והערכות פגיעות אם מטרת תהליכי היעד עומדת באופן פעיל בנתוני ההצפנה, בקרת גישה, וניהול חיים של נתונים.
סיכון שלישי וספקדור
רוב החברות מסתמכות על ספקים של צד שלישי לאחסון בענן, ניתוח, תשלום או ניהול יחסי לקוחות.כל ספק מייצג זרימת נתונים פוטנציאלית כי חייב להיות סאונד חוקי.בקש רשימה של כל מעבדי הנתונים ומעבדים תת-מעבדים יחד עם קיים:0 Data Process Agreements (DPAs) LT:1, אישור כי DPAs כוללים סעיפים הנדרשים כגון התחייבויות אבטחה, הפרת הודעות, פרוטוקולים, ו-FID, כולל מגבלות על כל ספק אם הם גם על פני נתונים לא ניתן לבצע שינוי רלוונטי.
פעולות אכיפה קודמות ו- Litigation
חיפוש רשומות ציבוריות ומאגרי מידע רגולטוריים עבור כל פעולות אכיפת קודמות, קנסות או צווי הסכמה הכרוכים בהמטרה.גם אם תיק היה מיושב ללא קבלת אחריות, ייתכן שהשיטות הבסיסיות המשיכו.ראיונות על קבוצות המשפט הפנימיות והציות לגבי כל חקירות או תלונות נתונים מתמשכים.תבשורה על תביעות הקשורות להפרות נתונים הן נפוצות יותר ויותר בארה"ב, ועלותם יכולה להיות משמעותית גם אם בסופו של דבר נדחתה.
משא ומתן על שמירה על חוזים
בשל דיאלגיות מגלה סיכונים; הגנה חוזית מקצה אותם.הסכם הרכישה צריך לכלול ייצוגים ספציפיים ותביעות לגבי פרטיות נתונים, כמו גם בריתות הדורשות את המטרה לשמור על עמידה במהלך תקופת הביניים בין חתימה לסגירה.
- ייצוגים ו- WarranssveFLT:1] - הצהרות שההמטרה הייתה מלאה בכל חוקי הפרטיות הרלוונטיים, לא חוו כל הפרה בלתי-מעוררת, השיגה את כל ההסכמה הנדרשת, ושומרת על דיוק ROPA.
- (FLT:0) ,Indemnification ClausesFLT:1) - הוראות המחזיקות את המרוויחים ללא פגע להפרות פרטיות קודמות, כולל קנסות, עונשים, עלויות תיווך ותביעות של צד שלישי.
- (FLT:0)Post-Closing ConventionsFLT:1) דרישות למטרה לשתף פעולה באינטגרציה נתונים, לעדכן הודעות פרטיות, ולמחוק או לאנונימיות נתונים שאינם נדרשים עוד.
- (FLT:0)Escrow או Holdback ArrangementssveFLT:1) - חלק ממחיר הרכישה עשוי להיות מוחזק בחזרה כדי לכסות הפסדים הקשורים לפרטיות הפוטנציאלית שהתגלה לאחר סגירתם.
- (FLT:0Data transfer MechanismsFLT:1) - אם העברות חוצה גבולות מעורבים, מחייבות את המטרה לשמור על מנגנוני העברה תקפים (סעיפים חוזיים או כללי חברותיים קידוד) ולשתף פעולה בבדיקת ההשפעה של העברה לאחר סגירת.
בנוסף, אם הקונה מתכוון לשלב או לשלב נתונים על פני מערכות, החוזה צריך לטפל בצורך של (FLT:0data Protection Assessment) (DPIA)FLT:1 עבור כל פעולות עיבוד חדשות אשר עלולות לגרום בסיכון גבוה לאנשים.ה-FLT של האיחוד האירופי:2scale Defof 3 והדרכה של מועצת הגנת נתונים אירופית: במיוחד כאשר הם מעורבים בתרחישים רגישים, במיוחד DLT5;
תכנון וגירסת נתונים בטוחה
ברגע שההעסקה נסגרה, העבודה האמיתית מתחילה.ליזום שתי סביבות נתונים נפרדות תוך שמירה על ציות דורשות התאמות זהות.התערות נפוצות כוללות מסדי נתונים מתמזגים ללא מינוף של בסיסים משפטיים, שלא הצליחו לעדכן הודעות פרטיות, ובאופן בלתי נמנע חשיפת נתונים לגורמים בלתי מורשים במהלך הגירה.
Data Mapping and Minimization
לפני כל שילוב טכני, לבצע תרגיל מיפוי נתונים מפורט המזהה כל נסקה משני הגופים, רמת הרגישות שלה, לוח הזמנים של שמירתו, ואת הבסיס המשפטי לעיבוד. השתמש במפה זו כדי להקים תוכנית מזער נתונים מ- 0 landata (FLT:1), הקובעת כי יש לשמור נתונים, אשר ניתן לפסול או לפסולת משפטית, אשר צריך למחוק אותם בהתאם לעקרונות מטרה, או לא ניתן לאסוף באופן אוטומטי את כל דרישות יישום נתונים חדשים ללא צורך לבצע את כל דרישות לא ניתן להשיג מחדש.
בקרת אבטחה טכנית
הפרות נתונים מתרחשות לעתים קרובות במהלך האינטגרציה, כי בקרת אבטחה נחלשים באופן זמני.וודא כי כל העברת הנתונים בין שתי הסביבות מוצפנת (במנוחה ובמעבר) יישם בקרת גישה חזקה עם הרשאות מבוססות תפקידים, ולנהל חסימה יסודית של כל גישה לנתונים במהלך המעבר. השתמש בכלי מניעת אובדן נתונים (DLP) כדי לפקח על יצוא בלתי מורשה.אם המטרה משתמשת במערכות מורשת שלא ניתן לענות על אבטחת המידע, לתכנן את הסטנדרטים של שלב זה או לשלב בדיקה של מערכת אבטחה משותפת.
סיכוני העברה Cross-Border
(אם הקונה פועל במדינה אחרת או באזור, הגבלות העברת נתונים הופכות קריטיות.לדוגמה, יעד מבוסס האיחוד האירופי להעביר נתונים לרוכש מבוסס בארה"ב חייב להסתמך על מנגנון העברה שאושר - מסובך כעת על ידי ביטול של מגן הפרטיות ותיאום מתמשך של שיטות פרטיות סטנדרטיות של נתונים לאחר ה-FLT:0Schrems IIFLT:1.
שחזור נתונים ודיסposal בתקופת הפוסט-Acquisition
אחד לעתים קרובות-מצפוי היבט של שילוב הוא הצטברות של נתונים משוכפלים, מיושנים או מחוסנים. Both Acquisitionr והמטרה עשויים להחזיק רשומות לקוח חופפות, רשימות שיווק הכוללות אנשי קשר כבר לא מעורבים, או גיבויים מורשת שאמורים להימחק לפני שנים.תוכנית של אבטחת נתונים שיטתית חיונית גם להישאר בתוך עקרונות הגנת אחסון. צור כוח משימה משותף כדי לסקור את כל תקופות השימור, לזהות נתונים שעולים על החיים המוסמך דרישות אבטחה ומאובטחות, אך לא רק על ידי שימוש בתקני אבטחה.
ניהול אחריות לאחר-Acquisition Compliance Management
פיצוי אינו אירוע חד פעמי; יש לטבוע בפעולות השוטפות של הארגון המשולב. מסגרת ממשל פרואקטיבית מבטיחה כי הפרטיות נותרה עדיפות גם כאשר סדרי עדיפות עסקית.
מדיניות פרטיות והודעות
מיד לאחר הרכישה, לעדכן את כל מדיניות הפרטיות - הן באתרי אינטרנט והן בחומרים הפונים ללקוח.לעדכן את נושאי הנתונים של השינוי בבקר (אם ישים) ולספק מידע ברור על האופן שבו הנתונים שלהם יטופלו קדימה.זה לא רק דרישה משפטית תחת התחייבויות שקיפות אלא גם מדד לבניית אמון. הרגולטורים רבים מצפים כי הודעות יועברו בזמן, מובן מאליו; דוא"ל עם קישור ל-ידי מערכת יחסים חדשה, אם לא ניתן לשקול שינויים משמעותיים בשכבה.
אימון ותרבות
צוות מהחברה שנרכשה - ועובדים קיימים - יש הכשרה למדיניות הפרטיות של הישות המשולבת, נהלי ניהול נתונים ופרוטוקולים של תגובה מקרית.מודעות לפרטיות צריך להיות חלק מעובד חדש על הסיפון ומחוזק באמצעות רעננות שנתיות.חשב בעיצוב קצין הגנת נתונים (DPO) או אלוף הפרטיות בתוך כל יחידה עסקית כדי לשמש כנקודת מגע לשאלות יומיומיות.
פיקוח מתמשך ואאודטס
לוח זמנים קבוע ביקורת פנימית - רבע לשנה הראשונה, ולאחר מכן מדי שנה - כדי להעריך עמידה במדיניות הפרטיות, התחייבויות חוזיות, שינויים רגולטוריים. השתמש בכלים אוטומטיים כדי לפקח על דפוסי גישה לנתונים, ניסיונות שידור בלתי מורשים, ותאריךי אישור הסכמה מראש של כל פעולות העיבוד, ולעדכן אותו בכל פעם שתהליכים חדשים מוצגים או ישנים צפויים יותר ארגונים כדי להיות מסוגלים לייצר תוכנית נוכחית של ROPA על פני השטח, כמו גם לא יכול להיות משקף חוק רגולטורי חדש או לא חוקי רגולציה.
מסקנה
תאימות לפרטיות נתונים במהלך רכישה היא אתגר רב שכבתי הדורש תיאום משפטי, טכני ותפעולי.על ידי התקרבות אליו באופן שיטתי - החל מדלינות גבוהה, משא ומתן על הגנה חוזית חזקה, תכנון שילוב עם טיפול, והקמת ממשל מתמשך - ארגונים יכולים להגן על עצמם מפני נזק כספי משמעותי ומוניטין.העלות של מקבל טעות גבוהה מדי, אבל היתרונות של מקבל זה להרחיב את זה ממש מעבר לסיכון - כמו גם לא פחות משווקים אחראיים של שיווק, אם כיבוד נתונים, אם כי לא יהיה אחראי על ידי לקוחות אחראי, אם כי לא יהיה סיכון, אם כי הוא בטוח, אם כי הוא לא יהיה סיכון, אם כי הוא בטוח, אם כי הוא בטוח, אם כי הוא לא יהיה אחראי על ידי שיווק של ניהול נתונים של ניהול נתונים של ניהול נתונים של ניהול נכסים אחראים, אם כי הוא בטוח, אם כי הוא בטוח, אם כי הוא בטוח, אם כי הוא בטוח, אם כי הוא בטוח, אם כי הוא בטוח, אם כי הוא בטוח, אם כי הוא בטוח, אם כי הוא בטוח, אם כי הוא לא יהיה סיכון של קניית נכסים אחראים, אם כי הוא בטוח, אם כי העלות של קניית נכסים מאובטח, אם כי הוא לא יהיה על ידי רכישת נכסים מאובטח, אם כי הוא לא יהיה אחראי על ידי רכישת נכסים מאובטח, אם כי הוא בטוח